¿Guardas contraseñas en un bloc de notas? Mala idea. ¿Las dejas en el escritorio? Error fatal. El caso SonicWall muestra cómo la irresponsabilidad de empleados deja a las empresas sin redes.

Huntress detalló el incidente, en el que los atacantes, al acceder a una SonicWall VPN vulnerable, obtuvieron acceso a la consola de gestión y casi privaron a la organización de sus medios de defensa, aprovechando archivos con códigos de respaldo guardados en texto plano. Los hechos se desarrollaron con rapidez: la detección de la actividad permitió contener parcialmente la propagación del ransomware Akira y salvar parte de la infraestructura de un cifrado total.

Durante la investigación, el SOC de la región APAC registró la ejecución masiva de comandos administrativos que eliminaban copias sombra en numerosos nodos, e iniciaron un aislamiento masivo de equipos para evitar más infecciones. En uno de los escritorios, el ejecutable w.exe de Akira logró cifrar la máquina local, pero la amplia segregación detuvo la activación del código malicioso en el resto de la red.

Varias cuentas de usuario fueron comprometidas desde direcciones internas del tipo 192.168.x.x — estas direcciones no fueron observadas por el personal de seguridad, ya que el DHCP se las asignó a sistemas controlados por los atacantes tras la compromisión de la VPN. Esta táctica complica la detección, porque el tráfico parece legítimo e interno y evita los mecanismos estándar de protección de los endpoints.

En una verificación posterior en el controlador de dominio, los atacantes listaron y exportaron certificados desde el almacén local usando la utilidad certutil. La exportación al formato PFX incluye la clave privada, lo que, si el certificado se usa para autenticación, permite la suplantación de usuarios o dispositivos legítimos y la posterior escalada de privilegios.

En el proceso de exploración de recursos administrativos, los atacantes encontraron en el escritorio de un ingeniero un archivo con códigos de respaldo de acceso al portal Huntress. Los códigos sirven como método de elusión de la autenticación multifactor y, si se comprometen, otorgan acceso completo a la consola sin verificación adicional. Tras iniciar sesión con los códigos, los atacantes desde la IP 104.238.221[.]69, anteriormente vinculada a ataques contra SonicWall, cerraron manualmente incidentes activos, revirtieron el aislamiento e iniciaron la eliminación de agentes de Huntress, buscando dejar ciega la supervisión y reducir la visibilidad de sus acciones.

Los especialistas pudieron reproducir las acciones del atacante en el portal y registrar la eliminación masiva de agentes en los últimos 7 días. El escenario demostró lo crítico que es proteger no solo las contraseñas principales, sino también los mecanismos de respaldo de acceso: los códigos guardados en texto plano se convierten en un único punto de fallo, que permite eludir la autenticación multifactor (MFA), suplantar cuentas privilegiadas y dejar fuera de servicio las defensas.

Recomendaciones para protegerse contra incidentes similares:

Nunca almacene códigos de respaldo y credenciales en archivos de texto sin cifrar o en carpetas compartidas.
Use gestores de contraseñas con cifrado y una frase maestra segura, deshabilitando el autocompletado para las entradas críticas.
Si no dispone de un gestor, guarde los códigos en un contenedor cifrado en un soporte externo protegido con contraseña.
Cambie los códigos de respaldo periódicamente cuando sea posible y supervise las autenticaciones en busca de accesos inusuales.
Extienda la cobertura de agentes EDR a todos los dispositivos finales posibles y controle la asignación DHCP para la VPN.
Limite los permisos para exportar certificados y supervise las operaciones con archivos PFX en los registros de auditoría.

Huntress subraya: los códigos de respaldo no son un atributo secundario de acceso, sino una vía directa para eludir la protección multifactor, y deben tratarse como contraseñas.